IT-Forensik

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Die IT-Forensik bzw. Digitale Forensik ist ein Teilgebiet der Forensik. Die IT-Forensik behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen und der Feststellung des Tatbestandes und der Täter durch Erfassung, Analyse und Auswertung digitaler Spuren. Mittlerweile ist die Untersuchung von Computersystemen im Sinne einer inhaltlichen Auswertung der dort gespeicherten Informationen auch im Zusammenhang mit „herkömmlichen“ Straftaten, aber auch für Zwecke der Steuerfahndung etabliert.

Wesentliches Element der IT-Forensik ist die Gerichtsfestigkeit der digitalen Beweismittel und aller folgenden Aktivitäten, d.h. die Daten und Analyseschritte müssen den Anforderungen von Gerichten an Beweismittel genügen. Dies wird durch eine lückenlose und umfassende Dokumentation der Beweismittel (u.a. mit Fotos, Hashing, Vier-Augen-Prinzip, etc.) und aller weiteren Analyseschritte bis zum Ergebnis der forensischen Datenanalyse erreicht.

Die IT-Forensik gliedert sich in die zwei Bereiche Computer-Forensik bzw. Disk-Forensik, bei der es um die Analyse von Computer- oder Mobilgeräten und der darin enthaltenen Daten geht und Forensische Datenanalyse bzw. Data-Forensik, bei der es um die Analyse von (meist großen) Datenbeständen aus Anwendungen und den zugrunde liegenden Datenbanken geht. Ziel der Computer-Forensik ist in der Regel das Analysieren von Kommunikation. Ziel der Forensischen Datenanalyse ist typischerweise die Analyse von Handlungen.

Mittlerweile bieten viele IT- und Beratungsfirmen forensische Untersuchungen als Dienstleistung an. Aber auch polizeiliche Behörden beschäftigen Fachkräfte in diesem Bereich.

Prozess[Bearbeiten]

Zur Durchführung einer Analyse mittels IT-Forensik ist ein fester Prozess notwendig. Dieser Prozess besteht im normalen Sinne aus folgenden vier Schritten:

  • Identifizierung
  • Datensicherung
  • Analyse
  • Präsentation/Aufbereitung

Innerhalb der Einzelschritte des Gesamtprozesses geht es im Wesentlichen um die Klärung folgender Fragestellungen im Hinblick auf die Geschehnisse, die zur Untersuchung geführt haben:[1]

  • Was – Was ist geschehen?
  • Wo – Wo ist es passiert?
  • Wann – Wann ist etwas passiert? (Datum und Uhrzeit)
  • Wie – Wie wurde vorgegangen? Welche Tools und/oder welche physikalischen Mittel wurden eingesetzt?

Zusätzlich können im Hinblick auf die strafrechtliche Relevanz oder die IT-Sicherheitsbewertung auch folgende Fragen relevant werden:

  • Wer – Wer bewegte bzw. veränderte Daten? Wer war anwesend und beteiligt?
  • Was – Was kann gegen eine zukünftige Wiederholung der Vorgänge getan werden?

Identifizierung[Bearbeiten]

Da in diesem Teilprozess die Ausgangslage dargestellt werden soll, liegen die Tätigkeitsschwerpunkte in der möglichst genauen Dokumentation der vorgefundenen Situation. Neben der Bestandsaufnahme des eigentlichen Sicherheitsvorfalles und erster Vermutungen müssen unbedingt weitere Fragen für die nähere Untersuchung geklärt werden. Es folgt eine Strukturierung dahingehend, welche Formen von Daten den Beteiligten zugänglich sind. Beispiele hierfür könnten Computer (Festplatten), Mobiltelefone, spezielle Log-Dateien oder auch flüchtige Datenbestände wie Hauptspeicherinhalte sein. Es wird ferner festgehalten, wo diese Daten und in welchen Umgebungen (z. B. Betriebssysteme) vorrätig sind.

Am Ende kann durch Sichtung dieser grundlegenden Fakten eine Entscheidung darüber gefällt werden, welche dieser Daten im folgenden Schritt gesichert werden müssen.

Datensicherung[Bearbeiten]

Sicherung einer Festplatte mit Hilfe eines Writeblockers

Dieser Schritt beinhaltet die eigentliche Sicherung der im vorigen Schritt identifizierten Daten. In diesem Prozessschritt sind die Sicherstellung der Integrität der digitalen Daten und das Aufrechterhalten einer Beweiskette die zentralen Aufgaben. Daher ist als ein wesentlicher Schritt auch die Reihenfolge der Flüchtigkeit der Daten zu berücksichtigen.[2]

In diesem Prozessschritt ergibt eine entscheidende Fragestellung, ob das betroffene IT-System aufgrund der Gefährdungssituation abzuschalten oder weiter betrieben werden kann. Diese Frage ist von zentraler Bedeutung, da es im weiteren Schritt um eine Sicherung von flüchtigen Datenbeständen wie z. B. dem RAM-Speicher, Netzwerkverbindungen und offenen Dateien sowie nicht-flüchtigen Datenbeständen wie z. B. Daten auf der Festplatte geht. Im Falle des Abschaltens würden die flüchtigen Datenbestände verloren gehen.

Das Abschalten eines Systems ist beispielsweise auch bei der Nutzung von Festplattenverschlüsselung problematisch für eine spätere Datenanalyse. Frei verfügbare Software-Produkte, wie zum Beispiel dm-crypt, sind in der Lage eine ganze Festplatte so zu verschlüsseln, dass im laufenden Betrieb mit angemeldetem Benutzer auf alle Daten zugegriffen werden kann. Alle Daten auf der Festplatte sind dann derart verschlüsselt, dass sie eine Entschlüsselung gänzlich unmöglich machen oder die Untersuchung aufgrund des enormen Zeitaufwands beträchtlich verzögern kann. Bei einer vorherigen Sicherung des Hauptspeicherinhaltes könnte eine Extraktion des dort vorhandenen Zugriffsschlüssels die Analyse der verschlüsselten Festplatte erleichtern bzw. ermöglichen.

Zur Sicherung von Daten einer Festplatte (Erstellung eines forensischen Duplikats) kommen häufig sog. Writeblocker zum Einsatz. An diese Geräte werden die zu sichernden Datenträger angeschlossen. Writerblocker verhindern schreibende Zugriffe auf die zu sichernden Datenträger, so dass deren Integrität gewahrt bleibt.[1]

Regelmäßig werden in diesem Prozessschritt Daten auf mitgebrachten Datenträgern des IT-Forensikers gesichert. Dabei sollten Medien benutzt werden, die einmalig beschreibbar sind. Der Einsatz von kryptografischen Verfahren zum digitalen Signieren von Daten sollte geprüft und wenn möglich angewendet werden, um deren Unversehrtheit gewährleisten zu können.

Neben der klassischen Sicherung von Festplatten aus PC- und Serversystemen rückt auch die Sicherung digitaler Spuren von Smartphones und PDAs immer stärker in den Vordergrund.

Analyse[Bearbeiten]

Nachdem die relevanten Daten erhoben sind und sicher auf entsprechenden Medien untergebracht sind, folgt eine erste Analyse. Hier ist Allroundwissen über Netzwerktopologien, Applikationen, aktuelle und bekannte System-Verwundbarkeiten als auch möglicherweise ein sehr hoher Grad an Improvisationsvermögen gefordert. Gerade hier sollten sich Organisationen überlegen, ob externe Fachleute hinzugezogen werden. Das benötigte Wissen geht weit über die pure Administration von Netzwerken oder Betriebssystemen hinaus und verlangt teilweise sogar betriebssystemnahe Programmierkenntnisse. Die erfolgreiche Analyse ist stets von der richtigen Deutung der vorliegenden Erkenntnisse abhängig. Der Sinn und Zweck der Analyse liegt in der Veranschaulichung und Untersuchung der Daten, der Bemessung der Ursachen des Vorfalles und der Wirkungsweise des eingetretenen Vorfalls. Die Analyse findet typischerweise niemals am originären System statt und bedingt eine noch peniblere Dokumentation als in den vorherigen Schritten.

Aufbereitung und Präsentation[Bearbeiten]

Im letzten Prozessschritt bereiten die an der Analyse beteiligten Personen ihre Erkenntnisse in Form eines Berichtes auf. Hierbei ist der Bericht auf die grundsätzliche Motivation einer Untersuchung abzustimmen. Diese lässt sich in folgenden Punkten zusammenfassen:

  • Ermittlung der Identität des Täters / der Täter,
  • Ermittlung des Zeitraums der Tat (Erstellung „Timeline“),
  • Ermittlung des Umfanges der Tat,
  • Ermittlung der Motivation der Tat und
  • Ermittlung der Ursache und Durchführung

Ob sich alle Punkte restlos klären lassen, hängt sowohl vom vorhandenen Datenmaterial als auch von der Qualität der Analyse ab.

Literatur[Bearbeiten]

  • Dan Farmer, Wietse Venema: Forensic Discovery. 2nd Printing. Addison-Wesley, Boston u. a. 2006, ISBN 0-201-63497-X, (Addison-Wesley professional computing series).
  • Eoghan Casey (Hrsg.): Handbook of computer crime investigation. Forensic tools and technology. 6th Printing. Elsevier Academic Press, Amsterdam u. a. 2007, ISBN 978-0-12-163103-1.
  • Alexander Geschonneck: Computer-Forensik. Computerstraftaten erkennen, ermitteln, aufklären. 5. aktualisierte und erweiterte Auflage. dpunkt Verlag, Heidelberg 2011, ISBN 978-3-89864-774-8.
  • Raoul Kirmes, Private IT-Forensik und private Ermittlungen, zwei Seiten einer Medaille? Josef EUL Verlag, Lohmar, 2012, ISBN 978-3844102048.
  • Andreas Dewald, Felix C. Freiling: Forensische Informatik. 1. Auflage. Books on Demand, Norderstedt 2011, ISBN 978-3-84237-947-3.
  • Jörg Meyer: Forensische Datenanalyse. 1. Auflage. Erich Schmidt Verlag, Berlin 2012, ISBN 978-3-50313-847-0.
  • Lorenz Kuhlee, Victor Völzow: Computer-Forensik Hacks. 1. Auflage. O'Reilly Verlag, Köln 2012, ISBN 978-3-86899-121-5.
  • Raoul Kirmes, Transnationale Verwertbarkeit forensischer Gutachten ZRFC, 2/2013, ISSN: 1867.8386 (http://www.zrfcdigital.de)

Weblinks[Bearbeiten]

 Wikibooks: Disk-Forensik – Lern- und Lehrmaterialien

Artikel und Fachbeiträge[Bearbeiten]

Sachbezogene Webseiten zum Thema[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. a b Leitfaden „IT-Forensik“, Version 1.0.1. Bundesamt für Sicherheit in der Informationstechnik, 1. März 2011, abgerufen am 22. Februar 2014.
  2. Dominique Brezinski und Tom Killalea: Guidelines for Evidence Collection and Archiving. The Internet Society, 1. Februar 2002, abgerufen am 22. Februar 2014.